OBBLIGHI DI ADEGUATA VERIFICA DELLA CLIENTELA

5.1 Adeguata verifica: approccio basato sul rischio, ambito di applicazione e modalità di assolvimento degli obblighi

Come già sottolineato al paragrafo 2.3, relativo ai principi generali che connotano la normativa in esame, le società di revisione debbono, nell’assolvimento degli obblighi antiriciclaggio, adottare un approccio basato sul rischio.

Con riferimento agli obblighi di adeguata verifica della clientela, l’approccio basato sul rischio significa, in prima istanza, l’adozione di misure, modalità e procedure

Documento di Ricerca n. 237 Luglio 2020

commisurate ai rischi di riciclaggio e di finanziamento del terrorismo associati alla clientela, in base alle caratteristiche della stessa e alle specificità dell’attività professionale prestata.

Le società di revisione applicano le misure di adeguata verifica della clientela in modo coerente rispetto alle metodologie ed ai processi propri dell’attività professionale svolta, tenendo conto delle norme di legge e regolamentari relative alla revisione legale, nonché dei principi di revisione applicabili.

Nell’adempimento degli obblighi di adeguata verifica della clientela la valutazione del rischio di riciclaggio costituisce il parametro di riferimento per la commisurazione degli obblighi.

Gli elementi che debbono essere presi in considerazione dalle società di revisione per profilare la clientela secondo l’approccio basato sul rischio sono i seguenti:

a) i criteri generali definiti nell’art. 17, comma 3 del Decreto Antiriciclaggio. In tale ambito, alcuni criteri risultano rilevanti per ogni tipologia di servizio reso, quali:

natura giuridica del cliente, prevalente attività svolta dal cliente, comportamento tenuto dal cliente, area geografica di residenza/sede del cliente o destinazione del servizio professionale. Per contro, ve ne sono altri che, benché in principio applicabili alle società di revisione, non possono costituire, in relazione specificatamente all’attività di revisione contabile, un parametro variabile in chiave di valutazione del rischio, essendo essi già di per sé insiti e presupposti nella natura tipica dell’attività di revisione (i.e. tipologia di prestazione professionale posta in essere, modalità di svolgimento della prestazione professionale, ragionevolezza della prestazione professionale richiesta dal cliente, ammontare, durata della prestazione professionale), mentre gli stessi rimangono sempre rilevanti in relazione agli eventuali servizi professionali diversi dalla revisione;

b) i fattori specifici di valutazione concernenti il cliente definiti dal Regolamento negli Allegati 1 e 2 (che rappresentano una indicazione di dettaglio, specifica per le società di revisione, dei criteri generali dettati nell’art. 17 del Decreto Antiriciclaggio), ossia:

• fattori di basso rischio (Allegato 1) relativi al cliente e al titolare effettivo:

- società ammesse alla quotazione su un mercato regolamentato e sottoposte ad obblighi di comunicazione che includono quelli di assicurare un’adeguata trasparenza della titolarità effettiva;

- pubbliche amministrazioni ovvero istituzioni o organismi che svolgono funzioni pubbliche;

- intermediari bancari e finanziari di cui all’art. 3, comma 2 del Decreto, con l’esclusione di alcune specifiche categorie elencate nell’Allegato;

- clienti e/o titolare effettivo residenti o aventi sede in aree geografiche a basso rischio, e il cui elenco è analiticamente riportato sempre nell’Allegato 1 lettera B) “Fattori di basso rischio geografici”.

• fattori di rischio elevato (Allegato 2) relativi al cliente e al titolare effettivo:

- prestazioni professionali instaurate o eseguite in circostanze anomale;

- indici reputazionali negativi relativi al cliente e/o al titolare effettivo (sussistenza di procedimenti penali, per danni erariali, per responsabilità amministrativa ai sensi del D.Lgs. n. 231/2001, ecc.), nonché a soggetti

Documento di Ricerca n. 237 Luglio 2020

notoriamente legati al cliente e/o al titolare effettivo in virtù di rapporti familiari o d’affari;

- strutture qualificabili come veicoli per interposizione patrimoniale quali trust, società fiduciarie, fondazioni e ulteriori soggetti giuridici che possano essere strutturati in maniera tale da beneficiare dell’anonimato e permettere rapporti con banche di comodo o con società aventi azionisti fiduciari;

- società che hanno emesso azioni al portatore o siano partecipate da fiduciari;

- tipo di attività economica caratterizzata da elevato utilizzo di contante, quali ad esempio il settore dei compro oro, di cambio valuta, del gioco e delle scommesse, del commercio al dettaglio, ecc;

- tipo di attività economica riconducibile a settori particolarmente esposti al rischio di corruzione, quali appalti pubblici, sanità, edilizia, commercio di armi, difesa, industria bellica, industria estrattiva, ovvero raccolta e smaltimento di rifiuti, produzione di energie rinnovabili, settori interessati dall’erogazione di fondi pubblici nazionali o comunitari;

- cliente e/o titolare effettivo che ricoprono cariche pubbliche in ambiti non ricompresi nella nozione di PEP (Politically Exposed Person) ma per i quali sussiste una rilevante esposizione al rischio di corruzione;

- assetto proprietario anomalo o eccessivamente complesso data la natura dell’attività svolta;

- clienti e/o titolare effettivo residenti o aventi sede in aree geografiche a rischio elevato, ossia i casi in cui il cliente e/o titolare effettivo sono residenti, ovvero hanno la sede principale delle proprie attività ovvero rilevanti collegamenti con Paesi a rischio elevato secondo i criteri riportati sempre nell’Allegato 2 lettera B) Fattori di rischio elevato geografico.

Nello svolgere la profilazione del rischio, il revisore deve quindi adottare specifiche procedure di acquisizione di informazioni che potrebbero anche non essere strettamente correlate all’attività professionale. Allo stesso è pertanto richiesto un contributo di indagine aggiuntivo; in particolare dovrà essere considerata l’eventuale inclusione del cliente e/o titolare effettivo nelle liste antiterrorismo, l’attributo di PEP del cliente e/o del titolare effettivo, il settore economico principale in cui opera il titolare effettivo (con particolare attenzione qualora diverso da quello del cliente), l’analisi dei procedimenti (e delle notizie pregiudizievoli, ovvero di quelle notizie che possono avere rilevanza ai fini della determinazione del rischio di riciclaggio e finanziamento del terrorismo) che interessano il cliente e il titolare effettivo nonché altri elementi informativi ritenuti utili nelle specifiche circostanze.

Alla luce dei criteri sopra delineati, il Regolamento specifica che le società di revisione devono adottare un sistema di classificazione idoneo ad esprimere il grado di rischiosità correlato al riciclaggio ed al finanziamento del terrorismo (“Profilatura della clientela”). Le società di revisione devono, pertanto, individuare lo strumento più idoneo, in coerenza con la propria struttura organizzativa e assetto dimensionale, per adempiere all’obbligo di profilatura. A tale fine, le società di revisione acquisiscono le informazioni necessarie a valutare il rischio da fonti pubbliche indipendenti (es. visura) e, in aggiunta, richiedere al cliente le eventuali

Documento di Ricerca n. 237 Luglio 2020

ulteriori informazioni non disponibili pubblicamente e necessarie per la profilatura della clientela.

Il Regolamento specifica altresì all’art. 21, comma 2, che per profilare la clientela le società di revisione adottano sistemi di classificazione che si avvalgono, per quanto possibile, di procedure informatiche e di algoritmi predefiniti, in grado di assegnare in automatico la classe di rischio. Resta fermo che le società di revisione possono attribuire al cliente una classe di rischio più elevata (rispetto a quella risultante dalle procedure automatiche), qualora la ritengano più appropriata secondo il loro prudente apprezzamento mentre, qualora venga attribuita al cliente una classe di rischio inferiore a quella risultante dalle procedure automatiche, tale decisione deve essere illustrata e motivata per iscritto. Per una più esauriente trattazione delle caratteristiche previste dalla Consob per la procedura di profilatura della clientela, si rimanda al documento sugli esiti della consultazione del regolamento di adeguata verifica, pubblicato unitamente al già più volte citato Regolamento.

Peraltro, va precisato che il sistema di classificazione adottato dalle società di revisione deve comunque garantire alla Consob, nell’ambito dei poteri ispettivi alla stessa attribuiti dalla normativa, di verificare che la profilatura del cliente venga effettuata utilizzando criteri oggettivi, applicati in maniera omogenea nell’ambito della società di revisione sulla base di istruzioni procedurali che definiscano sia le modalità di determinazione della rischiosità dei singoli indicatori (ad es. settore economico, area geografica ecc.) sia i criteri di attribuzione al cliente del livello di rischio finale, così da evitare interventi manuali o interpretazioni soggettive discrezionali al fine della classificazione del rischio. I revisori debbono comunque conservare evidenza delle valutazioni condotte nell’attribuzione del profilo di rischio del cliente, provvedendo altresì a “storicizzare” il modulo di determinazione del rischio dei singoli clienti (mediante, ad es., firme elettroniche o effettuando la conversione in formato .pdf dello stesso) così da garantirne l’immodificabilità.

Il grado di rischio identificato e attribuito dovrà, pertanto, riflettere e racchiudere tutte le valutazioni compiute, sulla base dei parametri di rischio forniti dal legislatore e dall’Autorità di Vigilanza, nell’ambito del sistema interno di valutazione. Allo stesso modo, il principio dell’approccio basato sul rischio implica che il grado di rischio identificato dovrà condurre a modalità di adempimento degli obblighi antiriciclaggio (adeguata verifica e collaborazione attiva²) differenziate, che si articoleranno attraverso l’adozione di diversi livelli di attenzione e cautela. In presenza di rischio elevato, dovranno essere adottate misure rafforzate di adeguata verifica e, ai fini dell’accettazione e/o mantenimento del cliente/incarico, dovranno o potranno essere previsti ulteriori livelli autorizzativi rispetto a quello del responsabile dell’incarico professionale e del responsabile della funzione antiriciclaggio (Cfr. anche art. 25, comma 4 bis, lett. d).

Dal punto di vista dell’iter logico procedurale, il Regolamento all’art. 21, comma 1, precisa che la profilatura della clientela deve essere eseguita nei confronti di ciascun cliente “prima dell’accettazione dell’incarico”. Pertanto, l’attività di attribuzione del rischio di riciclaggio, effettuata sulla base del sistema interno di valutazione adottato, deve essere svolta nella fase di accettazione del cliente (c.d.

client acceptance), in esito alla quale dovranno quindi scaturire sia un giudizio in

2 Per il concetto di collaborazione attiva si rimanda a quanto ampiamente esposto al successivo capitolo 8.

Documento di Ricerca n. 237 Luglio 2020

merito al rischio generale sul cliente sia, determinato in maniera autonoma e formalizzato in modo distinto rispetto al primo, il grado specifico di rischio ai fini antiriciclaggio.

A tale proposito si noti, tuttavia, che la misurazione del rischio di riciclaggio si pone come attività principalmente diretta ad assegnare al cliente una determinata classe di rischio, al fine specifico di commisurare la portata degli obblighi di adeguata verifica della clientela.

Conseguentemente un cliente classificato a rischio più elevato nell’ambito del sistema di valutazione del rischio di riciclaggio o finanziamento del terrorismo, è un cliente che potrebbe comunque essere ritenuto “accettabile” ma nei confronti del quale tuttavia, alla luce delle valutazioni svolte, dovranno essere adottate cautele maggiori nell’assolvimento degli obblighi di adeguata verifica della clientela.

L’art. 21 comma 5 del Regolamento prescrive che, con frequenza prestabilita, occorre verificare l’appropriatezza della classe di rischio attribuita e che, in ogni caso, qualora nello svolgimento dell’attività professionale si riscontrino attività o eventi tali da incidere in modo significativo sul profilo di rischio del cliente (ad esempio, nel caso di assunzione della qualifica di PEP o di cambio del titolare effettivo), la società di revisione deve modificare tempestivamente la classe di rischio precedentemente attribuita e adeguare conseguentemente le misure e le attività afferenti all’adempimento degli obblighi di adeguata verifica.

5.1.1 Presupposti oggettivi

Le società di revisione applicano gli obblighi di adeguata verifica della clientela con riferimento a tutti gli incarichi ad esse conferiti.

Le società di revisione non sono tenute all’assolvimento degli obblighi di adeguata verifica con riferimento ai seguenti incarichi:

• attività didattica o scientifica (ad esempio docenze, incluse attività di formazione a corsi e convegni, o collaborazioni editoriali);

• incarichi professionali conferiti nell’ambito di procedure giudiziarie, concorsuali ed incarichi nelle procedure di amministrazione straordinaria (restando comunque in questo caso applicabili gli obblighi segnalativi di eventuali operazioni sospette riferiti all’incarico).

5.1.2 Contenuto e modalità di esecuzione degli obblighi di adeguata verifica

Gli obblighi di adeguata verifica della clientela da parte delle società di revisione constano delle seguenti attività:

a) identificazione del cliente;

b) identificazione dell’eventuale del titolare effettivo;

c) verifica dell’identità del cliente e del titolare effettivo sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente;

d) acquisizione di informazioni sullo scopo e sulla natura della prestazione professionale richiesta ai sensi dell’art. 18 comma 1 lettera c) del Decreto, ove gli stessi non risultino già evidenti alla luce della lettera d’incarico e delle pattuizioni ivi contenute, in particolare sull’oggetto dell’incarico professionale;

Documento di Ricerca n. 237 Luglio 2020

e) esercizio di un controllo costante, nel corso del diligente esercizio dell’attività professionale.

Le attività di cui alle lett. da a) a d) debbono svolgersi prima del conferimento dell’incarico per lo svolgimento della prestazione professionale (al riguardo, si veda anche il paragrafo 5.2, infra).

In particolare, debbono essere assolti prima del conferimento gli obblighi di identificazione del cliente e del titolare effettivo, con verifica dei relativi dati mediante il confronto con quelli desumibili da una fonte affidabile ed indipendente, come si dirà nel seguito.

Tra le fonti affidabili ed indipendenti rientrano:

a) i documenti di identità o riconoscimento in corso di validità;

b) il registro delle imprese italiano;

c) gli albi ed elenchi di soggetti autorizzati, gli atti costitutivi, gli statuti, i bilanci o documenti equivalenti, le comunicazioni rese al pubblico in conformità alla normativa di settore (quali prospetti, comunicazioni di partecipazioni rilevanti o informazioni privilegiate);

d) i registri dei titolari effettivi eventualmente istituiti in altri Paesi comunitari in attuazione degli articoli 30 e 31 della IV Direttiva Antiriciclaggio;

e) le informazioni provenienti da organismi e autorità pubbliche, ivi compresa la pubblica amministrazione, anche di altri Paesi comunitari; tali informazioni possono essere acquisite anche attraverso i siti web;

f) gli atti pubblici, le scritture private autenticate, i certificati qualificati utilizzati per la generazione di una firma digitale associata a documenti informatici³; g) la dichiarazione della rappresentanza diplomatica e dell’autorità consolare

italiana⁴.

In merito al significato della “verifica”, quale fase distinta nell’impianto regolamentare rispetto all’identificazione, si evidenzia sin d’ora, rinviando ai successivi paragrafi per una più approfondita disamina delle diverse fattispecie, che:

(i) in generale, qualora per il cliente persona fisica sia stato acquisito un documento di identità in corso di validità, le società di revisione compiono ogni indagine ragionevolmente possibile, nell’esercizio della loro diligenza professionale, al fine di verificare l’autenticità e la validità del documento di identità o di altro documento di riconoscimento equipollente acquisito;

(ii) in presenza di basso rischio di riciclaggio e/o finanziamento del terrorismo la verifica dei dati del titolare effettivo può svolgersi mediante la sola acquisizione di una dichiarazione di conferma dei dati sottoscritta dal cliente, sotto la propria responsabilità, ai sensi dell’art. 22 del Decreto.

3 Ai sensi dell’art. 24, D.Lgs. 82/2005 per quanto attiene ai contenuti assistiti da efficacia probatoria legale.

Ai sensi dell’art. 6 D.Lgs. 153/1997.

Documento di Ricerca n. 237 Luglio 2020

L’identificazione del cliente e del titolare effettivo e la verifica dei relativi dati possono ritenersi assolte qualora siano già state effettuate in relazione a un rapporto in essere o precedenti prestazioni professionali, purché le informazioni esistenti siano aggiornate e adeguate rispetto al profilo di rischio del cliente e alle caratteristiche del nuovo incarico professionale.

5.2 Individuazione del soggetto cliente

Nel sistema delineato dal Decreto, la prima delle attività di adeguata verifica è costituita dall’identificazione del cliente, mentre la seconda concerne l’identificazione del titolare effettivo, ossia la persona fisica o le persone fisiche, diverse dal cliente, nell’interesse della quale o delle quali, in ultima istanza, il rapporto continuativo è instaurato, la prestazione professionale è resa o l’operazione è eseguita; si rende pertanto necessario, in primo luogo, individuare quale sia il soggetto cliente, con riferimento alle diverse tipologie di incarico professionale della società di revisione.

Si premette che le considerazioni e soluzioni nel seguito prospettate rispondono ad una logica di proporzionalità, ossia evitare la duplicazione di adempimenti, nonché osservare un approccio basato sul rischio. Infatti, con attitudine sostanziale e non formalistica, occorre concentrare gli sforzi di adeguata verifica là dove possa realmente configurarsi un rischio di riciclaggio/finanziamento del terrorismo, nonché dove vi sia la concreta possibilità per la società di revisione, nello svolgimento diligente dell’attività professionale, di “intercettare” tale rischio.

Secondo la normativa antiriciclaggio, “Cliente” è il soggetto che instaura rapporti continuativi, compie operazioni ovvero richiede o ottiene dalla società di revisione una prestazione professionale a seguito del conferimento di un incarico.

Conseguentemente, “Cliente” ai fini dell’espletamento degli obblighi di adeguata verifica è la società conferente l’incarico, normalmente la medesima entità nei cui confronti vengono svolte le verifiche della società di revisione. Come meglio declinato nel paragrafo successivo, laddove non vi sia coincidenza tra soggetto conferente l’incarico e società oggetto delle verifiche della società di revisione,

“Cliente” è il soggetto nel cui interesse è resa la prestazione professionale.

Posto il carattere generale delle regole sopra delineate, si forniscono nel seguito alcune sintetiche indicazioni sulla loro applicazione a particolari tipologie di incarico delle società di revisione, che potrebbero dare luogo a difficoltà interpretative. Tra esse figurano gli incarichi conferiti dalla Rete: in tale fattispecie, la prestazione professionale della società di revisione si intende resa all’entità oggetto dell’incarico, come si vedrà di seguito.

5.2.1 Particolari tipologie di incarichi delle società di revisione: individuazione del soggetto cliente ai fini dell’assolvimento degli obblighi di adeguata verifica 1. Revisione bilancio consolidato

Revisione bilancio consolidato con incarichi separati conferiti dalle società del gruppo: oltre alla capogruppo, sono identificati come clienti tutte le società del gruppo conferenti separati incarichi professionali. Laddove, invece, l’incarico professionale provenga dalla sola capogruppo (senza incarichi separati conferiti dalle altre società del gruppo) viene identificata come cliente solo la società capogruppo.

Documento di Ricerca n. 237 Luglio 2020

2. Due Diligence

a) Acquisition Due Diligence o altre procedure di revisione svolte su un target:

viene identificato come cliente il soggetto conferente l’incarico per le seguenti motivazioni:

• il soggetto target è un centro di interessi distinto ed autonomo rispetto al soggetto conferente l’incarico; non sono infatti riconducibili ad una medesima catena proprietaria/di controllo. Ad abundantiam, si osserva che il target riveste spesso un ruolo “passivo” nell’ambito della prestazione professionale (ciò accade ad esempio negli incarichi di data room, in cui sovente la società di revisione non entra in contatto con la struttura manageriale del target);

• assumono rilevanza per le autorità competenti alcuni aspetti eventualmente rilevabili nel soggetto conferente l’incarico, potenziale acquirente, che potrebbero evidenziare un rischio di riciclaggio;

b) Vendor Due Diligence (VDD): se l’incarico è conferito dalla società “in vendita”, il cliente si identifica nella stessa società nei confronti della quale è resa la prestazione professionale. Ove, invece, l’incarico di VDD sia conferito da un soggetto diverso dalla società “in vendita” (ad esempio, l’azionista di maggioranza o di minoranza, che vuole vendere la propria partecipazione) il cliente si identifica nel predetto soggetto conferente l’incarico.

In ogni caso, si evidenzia che, a prescindere dall’individuazione del soggetto cliente ai fini dell’adeguata verifica della clientela, permangono gli autonomi obblighi di segnalazione delle operazioni sospette in relazione a fatti di cui la società di revisione dovesse venire a conoscenza nello svolgimento della propria attività presso la società target.

3. Incarichi conferiti dal collegio sindacale, da altri organi/strutture sociali e dall’attestatore

a) Nel caso di incarico ricevuto dal collegio sindacale ai sensi dell’articolo 2403-bis del codice civile, la prestazione professionale si intende resa al soggetto nei cui confronti sono svolte le attività di ispezione e controllo di cui al predetto articolo. In tale fattispecie, l’incarico è conferito alla società di revisione da un organo societario che, in virtù del principio di immedesimazione organica, agisce non nel proprio interesse ma in quello della società presso la quale la società di revisione svolge la propria attività di ispezione e controllo, che pertanto sola si qualifica come cliente.

b) Nel caso di incarichi ricevuti da altri organi/strutture sociali (ad es. l’Organismo di vigilanza ex D.Lgs. n.231/2001), analogamente a quanto sopra, viene identificato come cliente la società nei cui confronti viene svolta la prestazione professionale.

c) Medesima soluzione delle precedenti deve darsi all’ipotesi degli incarichi conferiti alla società di revisione dall’“attestatore” con riferimento ai piani di risanamento e di concordato preventivo (cfr. art. 67, comma terzo, lett.) d) e art.

160 R.D. 267/1942).

Documento di Ricerca n. 237 Luglio 2020

4. Incarichi conferiti dalla Rete

4. Incarichi conferiti dalla Rete